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Einheit zur Sicherheitsuberwachung von Steuerungseinrichtungen 

Einheit zur Sicherheitsuberwachung von Steuerungs- 
einrichtungen, bei denen Speicherprogrammierbare 
Steuerungen oder Mikrorechner uber ein Bus-System de- 
zentrale Einheiten ansprechen, die einen Prozess sowohl 
im sicherheitsrelevanten als auch im nichtsicherhertsrele- 
vanten Bereich regeln, steuern oder uberwachen dadurch 
gekennzeichnet dass zur Realisierung der Sicherheitsan- 
forderung die Oberwachungseinheit (2) hinzugefugt wird, 
die entweder ausschlie&lich oder vorwiegend die sicher- 
heitsbehafteten Funktionen des Prozesses (12) mit der 
notwendigen Logik zur Oberwachung gefahrbringender 
Ablaufe oder Bewegungen (13) hinzugefugt wirri, die 
seibst nur uber das Bus- System (3), welches als Standard 
erharten bleibt und keinerlei Zusatzfunktion bedarf, eine 
Horer-Funktion erhalt und damit zusatzlich zum Gesamt- 
prozess adaptierbar ist, diese mit sicherheitsgcrichteten 
dezentralen Einheiten (7, 9) kommuniziert und parallel 
zum Gesamtprozess alle Sicherheitsfunktionen uber- 
wacht und nur im Fehlerfall uber die dezentralen Einhei- 
ten (7, 9) oder sonstigen Sicherheitseinrichtungen den si- 
cheren Maschinen- bzw. Anlagenzustand herbeifuhrt. 



Sleuerung (1) 



Ubefwachungseinhett f2) 
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Beschreibung (298 24 256.7) 



Es wird eine Einheit beschrieben, die uber ein sicherhe'itsgerichtetes Bussystem mit 
dezentralen Komponenten kommuniziert und dabei sowohl den sicheren 
Datenverkehr als auch die Sicherheitsfunktionen Qberwacht. 

Die hier vorgeschlagene Einheit ist in der Lage, die Steuerungseinrichtung und die 
.Sicherneitsfunktion vollkommen zu trennen. Mit der Einheit wird es mSglich den 
Steuerungsteil vollstandig vorher aufzubauen, zu testen und in Betrieb zu nehmen 
Die sicherheitsrelevanten Komponenten lassen sich dann nachtraglich hinzufugen 
ohne die Steuerungsfunktion zu andern. Auch nach der Installation beider System'e 
(Steuerungseinnchtung und Sicherheitssystem) lassen sich Steuerungsfuhktionen 
andern, hinzufugen Oder heraustrennen, ohne dass die Sicherneitsfunktion davon 
betroffen ist. Insbesondere besteht die Moglichkeit, alle Sicherheitsverknupfunqen im 
einzelnen unabhangig zu prGfen. 

Diese Aufgabe wird erfindungsgemafc durch die kennzeichnenden Merkmale des 
Anspruchs 1 gelost, wahrend die weiteren Anspriiche (2-1 0) vorteilhafte 
Auspragungen der beschriebenen Einheit darstellen. 

In Fig. 1 ist die Funktionsweise der zu Grunde liegenden Einheit dargestellt 
Hienbei besteht das Automatisierungssystem aus einer Steuerung, einem Bus- 
System und mehreren dezentralen Komponenten, die den Prozess steuem oder 
uberwachen. Damit stent die Fig. 1 eine typische Einrichtung dar, die (ohne die grau 
hinteriegten Komponenten) fur alle nichtsicherheitsrelevanten Systeme geeignet 
sind. Die Anordnung entspricht dem heutigen Stand der Technik. 

Im Detail steuert oder regelt die Steuerung (1) den gewiinschten Prozess. Uber das 
angeschlossene Bus-System (3) holt sie Daten vom Prozess (11,12) oder gibt sie 
Rni^r^f 6 ? a " s n Pfe dezentralen Einheiten (4-10) empfangen alle Daten vom 
Bus-System (3) oder stellen dem Prozess (1 1,12) ihre Daten zur Verfiigung Damit 
sind die dezentralen Einheiten nur vorgelagerte EiiWAusgabe-Baugruppen die ohne 
ein Bus-System als Peripheriebaugruppen in der Speicherprogrammierbaren 
Steuerung zu finden sind. 

Die Steuerung (1) enthalt ein Programm (Software) das alle 

nichtsicherheitsrelevanten Vorgange steuert oder regelt Femer enthalt sie bereits in 
ihrem Programm auch die logischen Funktionen fur die Sicherheitsverknupfungen 
die fur sicherheitsrelevante Vorgange notwendig sind. So enthalt beispielsweise der 
Prozess (11) keine aber der Prozess (12) sicherheitsrelevante Vorgange bei denen 
Bewegungen erfolgen, die eine Gefahr fur Mensch oder Maschine darstellen (13) 
Obwohl die Steuerung (1 ) die notwendige Logik fur die Sicherheitsanforderung 
enthalt, kann sie im Fehlerfall nicht einwandfrei reagieren, da entweder sie selbst 
oder eine ihrer dezentralen Einheiten fehlerbehaftet sein kann, diese aber nicht 
kontrolhert werden. Das Steuerungssystem ist damit nicht in der Lage, einen Fehler ' 
abzuwehren, da jegliche Fehlererkennung fehlt. 

Entsprechend der Aufgabe der Anmeldung nach Anspruch 1 werden zur Erreichung 
der sicheren Fehlererkennung und zur Prozessabschaltung die grau hinterieqten 
Komponenten hinzugefugt. 

Die Oberwachungseinheit (2) wird in der Funktion eines Horers (Listener) an den Bus 
angeschlossen. Sie braucnt damit nicht von der Steuerung berucksichtigt zu werden. 



da sie nur passiv sich der Daten des Bus-Systems (3) bedient. Die , 
Oberwachungseinheit (2) ist uber - die auf dem Bus laufenden Daten - uber alle 
Zustande und Ablaufe im Prozess und insbesondere uber die Zustande der 
Prozessgro&en informiert. 

Im Prinzip ist sie damit in der Lage, die sicherheitsreievanten Zustande zu 
uberprufen. Zur Bewaltigung dieser Aufgabe enthalt sie ein einfaches Programm das 
nur die Sicherheitsfunktionen als Logik Oberwacht (z.B.: Gitterkontrolle, ' 
Anlaufuberwachung, Endschaltertest, usw.). Im Fehlerfall der Steuerung (1) kann 
damit die Oberwachungseinheit (2) geeignete MaSnahmen ergreifen. 
Diese Fehlererkennung funktioniert jedoch nurdann, wenn die Steuerungseinheit (1 ) 
als Verursacher fungiert. Fehler in den dezentralen Einheiten oder im Prozess 
werden von beiden Einheiten (Steuerungseinheit (1) oder Oberwachungseinheit (2)) 
" nicht registriert. 

Eine vollstandige Kontrolle gelingt daher nur mittels spezieller dezentraler Einheiten, 
die ihre eigene Funktion oder sogar die Sensorik im redundant Prozess abfragen. 
Entsprechend des Anspruchs 1 gehoren zur optimalen Funktion dieser Einheit auch 
dezentrale Einheiten, die selbst Sicherheitsanforderungen genugen. Hierzu gehdrt 
insbesondere die Oberwachung der eigenen Funktion und die 
Sicherheitsabschaltung im Fehlerfall (bei Ausfall des Bus-Systems (3) oder bei, 
fehlerhaften Ein- oder Ausgabe). 

Die Oberwachungseinheit (2) erkennt somit eindeutig einen Fehler, sofem er im 
sicherheitsreievanten Programm als Logik hintertegt ist. Es bleibt der speziellen 
Projektierung Qberlassen, in welcher Form eine geeignete Sicherheitsabschaltung 
erfolgt. Im einfachsten Fall kann die Oberwachungseinheit (2) das Bus-System (3) 
unterbrechen oder kurzschlieGen. Damit unterbindet sie die Datenubertragung und 
die dezentralen Einheiten (7, 9) fallen in einen sicheren Zustand. Denkbar ist aber 
auch ein gezieltes Abschalten der Stromversorgung, der entsprechenden 
Ausgabeeinheit oder ein langsames Herunterfahren des Prozessablaufs. 
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Schutzanspruche (298 24 256.7) 

1 . Einheit zur Sicherheitsuberwachung von Steuerungseinrichtungen, bei denen 
Spefcherprogrammierbare Steuerungen oder Mikrorechner uber ein Bus-System 
dezentrale Einheiten ansprechen, die einen Prozess sowohl im 
sicherheitsrelevanten ats auch im nichtsicherheitsrelevanten Bereich regeln, 
steuern oder uberwachen dadurch gekennzeichnet, dass zur Realisierung der 
Sicherheitsanforderung die Oberwachungseinheit (2) hinzugefugt wird, die 
entweder ausschliefclich oder vorwiegend die sicherheitsbehafteten Funktionen 
des Prozesses (12) mit der notwendigen Logik zur Oberwachung 
gefahrbringender Abllufe oder Bewegungen (1 3) hinzugefugt wird, die selbst nur 
uber das Bus-System (3), welches als Standard erhalten bleibt und keinerlei 
Zusatzfunktion bedarf, eine Horer-Funktion erhalt und damit zusatzlich zum 
Gesamtprozess adaptierbar ist, diese mit sicherheitsgerichteten dezentralen 
Einheiten (7,9) kommuniziert und parallel zum Gesamtprozess alle 
Sicherheitsfunktionen uberwacht und nur im Fehlerfall uber die dezentralen 
Einheiten (7,9) oder sonstigen Sicherheitseinrichtungen den sicheren Maschinen- 
bzw. Anlagenzustand herbeifuhrt. 

2. Einheit nach Anspruch 1, dadurch gekennzeichnet, dass die 
Oberwachungseinheit (2) Qber eine in der Programmiersprache festgelegten 
Logik verfugt, die entweder ausschlieSlich oder vorwiegend Sicherheitsvorgange 
uberwacht und damit redundant zur Gesamtsteuerung arbeitet. 

3. Einheit nach den Anspruchen 1 und 2, dadurch gekennzeichnet dass die 
Uberwachungseinheit (2) auch nach der Funktionskontrolle des nicht 
redundanten Steuerungssystems mit ihren fur die Sicherheit notwendigen 
Abschaltfunktionen adaptierbar ist und durch ihre Sicherheitsfunktion der 
geforderte Grad an Sicherheit projektiert werden kann. 

4. Einheit nach den Anspruchen 1 bis 3, dadurch gekennzeichnet, dass die 
Uberwachungseinheit (2) und die sicherheitsgerichteten dezentralen Einheiten 
(7.9) deaktiviert werden konnen, ohne die einkanalige Steuerungsfunktion zu 
beeintrSchtigen. 

5. Einheit nach den Anspruchen 1 bis 4, dadurch gekennzeichnet, dass durch eine 
bustechnische Mithorfunktion der Oberwachungseinheit (2) keine Ruckwirkung 
auf den eigentlichen Steuerungsprozess entsteht, so dass eine weitgehende 
Trennung zwischen der Hard- und Software des nicht redundanten 
Steuerungssystems und der Sicherheitsuberwachung ermoglicht wird. 

6. Einheit nach den Anspruchen 1 bis 5, dadurch gekennzeichnet, dass die 
Uberwachungseinheit (2) uber den normalen Datenverkehr des Bus-Systems (3) 
der Steuerungseinheit (1) alle notwendigen Zustande und Funktionen erhalt, die 
zur Uberwachung des nicht redundanten Steuerungssystems notwendig sind. 

7. Einheit nach den Anspruchen 1 bis 6, dadurch gekennzeichnet, dass es an 
Standardbussysteme ohne Sicherheitsprotokollerweiterung adaptierbar bzw 
einbindbar ist. 

8. Einheit nach den Anspruchen 1 bis 7, dadurch gekennzeichnet, dass die 
dezentralen Einheiten, die sicherheitsrelevante Funktionen erfassen und 
ansteuern, selbst ihre Funktion uberwachen, mSglicherweise Sensoren oder 
Aktoren redundant uberwachen und bei Ausfall einer Funktion, beispielsweise bei 
Ausfall der Bus-Funktion, in den sichem Zustand schalten, der keine Gefahr mehr 
fur Mensch oder Maschine darstellt. 

9. Einheit nach den Anspruchen 1 bis 8, dadurch gekennzeichnet, dass die 
Ubenwachungsemheit . (2) in eiper von dem nicht # redundanten Steuerungssystem 



unabhangigen Programmier- und Parametriersprache in ihren 
Sicherheitsfunktionen generiert werden. 
10 Einheit nach den Anspriichen 1 bis 9, dadurch gekennzeichnet, dass die 

Uberwachungseinheit (2) neben der Oberwachungsfunktion auch die Bedienung 
und Programmierung mittels eines integrierten Mensch-Maschinen-lnterfaces 
erlaubt. 
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Zeichnung (298 24 256.7) 



Fig. 1 



Steuerung (1). 



Bus-System (3) 



Oberwachungseinheit (2) 
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